آموزش.طراحي.شبكه.نرم افزار.

WPA Personal، راهي است ساده به سوي شبكه‌هاي بي‌سيم امن بدون اين‌كه مجبور باشيم كليد را به صورت دستي وارد كنيم، مجبور به خريد چيزي باشيم يا نرم‌افزاري سمت كلاينت نصب كنيم كه فقط روي ويندوز كار مي‌كند؛ اين استاندارد توسط مجمع واي‌فاي تهيه شده‌است، ولي برخلاف استانداردهاي قبلي واي‌فاي، براي تبديل شدن به يك استاندارد توسط IEEE راه زيادي در پيش دارد. از ماه جاري حمايت اوليه از WPA Personal در محصولات واي‌فاي اجباري شده است، ولي مجمع واي‌فاي در تست‌هاي خود اين را درنظرمي گيرد كه كليدهاي رمزنگاري قبلاً به اشتراك گذاشته شده‌اند. به هر جهت دستيابي به يك توافق بر سر راهي مطمئن براي به اشتراك گذاري كليدها در آينده نزديك بعيد به نظر مي‌رسد .

بيشتر محصولات جديد واي‌فاي از بُعد امنيت كه دغدغه‌اي مهم در شبكه‌هاي بي‌سيم به شمار مي‌رود، حمايت گسترده‌اي از Wi-Fi Protected Access2) WPA2) به عمل مي‌آورند كه آخرين استاندارد رمزنگاري داده ارسالي از طريق هوا به شمار مي‌رود. محصولات واي‌فاي از اين استاندارد حمايت مي‌كنند؛ زيرا از ماه جاري مجمع واي‌فاي، قابليت سازگاري با WPA2 را به عنوان بخش اجباري تست‌هاي هماهنگي خود لحاظ مي‌كند.البته دو نوع WPA2 وجود دارد و بيشتر تلفن‌هاي واي‌فاي و بسياري از دستگاه‌هاي ديگر از نسخه قبلي حمايت مي‌كنند كه از ابتدا براي شبكه‌هاي خانگي طراحي شده بود.
زماني كه مجمع واي‌فاي به WPA2 دست يافت، بازار را به دو گروه تقسيم كرد: WPA و WPA Home .WPA پياده‌سازي تقريباً كاملي از مشخصات استاندارد IEEE 802.11i است كه هدف آن ايجاد توانايي كار با RADIUSسرورها و پشتيباني دائمي كاركنان در شبكه‌هاي بزرگ مي‌باشد. WPA HOME كه يك مدل سبك‌تر است با هدف نصب و راه‌اندازي ساده‌تر و امنيت كمتر ايجاد شده و فقط در لوازم الكترونيكي شخصي كاربرد دارد.
از دو هدف WPA HOME فقط يكي محقق شده است. به عبارت ديگر، نسخه خانگي، امنيت كمتري دارد، ولي براي كاربران خانگي به اندازه كافي ساده نيست و در شركت‌ها هم از اين نسخه استفاده مي‌شود. به همين دليل مجمع واي‌فاي نام آن را به WPA Personal تغيير داد. مجمع واي‌فاي همچنين توجه خود را به روش‌هاي تسهيل مديريت كليدها معطوف كرده است. فروشندگان متعددي با سيستم اختصاصي كنار آمده‌اند، ولي در حال حاضر تنها راه مطمئن جهت انتقال كليدها براي WPA Personal، تايپ دستي آن‌هاست و البته هرچه شبكه بزرگ‌تر باشد، انجام اين كار سخت‌تر مي‌شود.

توسعه بيش از حدمشكل WPA Enterprise، پيچيدگي آن است. اين استاندارد بر اساس پروتكل‌
Extensible Authentication Protocol) EAP) كار مي‌كند كه كليدهاي رمزنگاري را تغيير مي‌دهد و حداقل به يك سرور تأييد هويت نياز دارد. اين كار به خودي خود براي بيشتربخش‌هاي IT مؤسسات مشكلي ايجاد نمي‌كند، وليEAP نيز به تنهايي كافي نيست. اين پروتكل بر اساس نسخه‌هاي مختلف كار مي‌كند و انتخاب يكي از آن‌ها معمولاً به نوع سرور و روش تأييد هويت آن بستگي دارد.

به عنوان مثال، IETF استانداردهايي براي EAP بر اساس كلمه عبور و گواهي نامه ديجيتال دارد و Trusted Computing Group) TCG) ‌يك نمونه‌ ‌ازآن را با استفاده از چيپ‌هاي Trusted Platform Module) TPM) معرفي كرده است.

بيشتر توليدكنندگان نيز نسخه‌هاي اختصاصي خود را دارند. محصولات مايكروسافت به سادگي با Active Directory كار مي‌كنند. در حالي كه سيسكو با سيستمي كار مي‌كند كه از بانك كلمات عبوراستفاده كند و (حداقل تا حالا) هيچ‌گونه خطري متوجه اين بانك كلمات نبوده است.
وقتي كلاينتي عضو شبكه‌اي مي‌شود، همان نوع EAP كه شبكه پشتيباني مي‌كند، كلاينت نيز بايد پشتيباني كند. اين كار معمولاً از طريق نرم‌افزاري انجام مي‌شود كه به آن Supplicant مي‌گويند و هيچ نوعي از EAP وجود ندارد كه براي همه دستگاه‌ها Supplicant داشته باشد.
بنابراين كاربران سيستم‌هاي اختصاصي كاملاً در اختيار يك فروشنده خاص قرار مي‌گيرند. براي مثال، مايكروسافت نرم‌افزار خود را در دسترس لينوكس قرار نمي‌دهد. از طرفي استانداردها هم به طور گسترده پشتيباني نمي‌شوند.
حتي اگر توليدكننده نرم‌افزاري بخواهد تمام انواع EAPها را پشتيباني كند، نمي‌تواند. بيشتر تلفن‌هاي واي‌فاي و دستگاه‌هاي باركد حتي قدرت اجراي يك EAP Supplicant را ندارند. بنابراين به هيچ عنوان نمي‌توانند از WPA Enterprise استفاده كنند.
به همين خاطر، شبكه‌هايي كه از اين تجهيزات استفاده مي‌كنند، بايد به كلاينت‌ها اين قابليت را بدهند كه در زمان مقتضي به يك مد ارتباطي با امنيت كمتر سوييچ كنند؛ مثل WPA Personal يا چيزي ضعيف تر از آن.

وارد كردن كليدها بدون صفحه كليد WPA Personal نيز مانند WPA Enterprise از همان رمزنگاري AES ،128 و 256 بيتي استفاده مي‌كند؛ با اين تفاوت كه نيازي به EAP ندارد. در عوض اين استاندارد مشخص مي‌كند كه همه كلاينت‌ها از ابتدا كليد داشته باشند و از آن براي تأييد هويت استفاده كنند. پشتيباني اين استاندارد براي محصولات خيلي ساده است؛ چرا كه در حال حاضر سازندگان بيشتر چيپ‌هاي راديويي 802.11،AES را در سخت‌افزار خود پياده‌سازي كرده‌اند. ولي قابليت تعويض كليدهاي AES متقارن در اين سخت‌افزارها وجود ندارد.
براي راحتي بيشتر، WPA Personal براي تمام كلاينت‌هاي شبكه از يك كليد استفاده مي‌كند. در عوض WPA Enterprise به هر كلاينت يك كليد انحصاري مي‌دهد كه براي هر جلسه ‌(session) يا پكت به طور تصادفي توليد مي‌شود‌.‌ از اين نظر WPA Personal شبيه Wired Equivalent Privacy) WEP) ‌است كه آشكارا، امنيت پياده‌سازي شده در استاندارد اوليه 802.11‌ را شكننده نشان مي‌داد.
به هر حال، WEP مشكلات شناخته شده زياد ديگري داشت كه برطرف شده است. WPA اوليه همانند WEP توسط پياده‌سازي الگوريتم RC4 خود برخي مشكلاتش را حل كرد و قابليت پشتيباني از كليدهاي طولاني‌تر را اضافه نمود. بعداً WPA2 ،RC4 را كنار گذاشت و از AES استفاده كرد و باز هم طول كليد را طولاني‌تر كرد.
يك كليد اشتراكي همچنان مي‌تواند خطر امنيتي به همراه داشته باشد و هرچه شبكه بزرگ‌تر باشد، اين خطر بيشتر است. اين مشكل براي شبكه‌هاي خانگي كه يكي دو تا كلاينت و يك AP دارند جدي نيست، ولي در مؤسسات بزرگ باعث آسيب‌پذيري شبكه در مقابل سرقت دستگاه‌ها و اطلاعات مي‌شود. اين مشكل از آنجا نمايان مي‌شود كه اگر كليد از يكي از سيستم‌ها به سرقت برود، همه دستگاه‌ها در شبكه بايد كليدشان را عوض كنند.
بدون EAP تعويض كليدها كار مشكلي است. هرچه كليدها طولاني‌تر باشد، كار تايپ آن‌ها سخت‌تر است؛ مخصوصاً وقتي كه دستگاه‌هايي بدون صفحه‌كليد در شبكه موجود باشد. محصولات زيادي هستند كه از EAP پشتيباني نمي‌كنند. توليدكنندگان در اين زمينه به سه راهكار دست‌ يافته‌اند، ولي با توجه به خواستگاه‌هاي سيستمشان، هدف عمده همه آنان كاربران خانگي است و هيچ كدام ازآن‌ها با همه سخت‌افزارها كار نمي‌كنند.

وسيع؛ اما كم‌عمق‌رايج‌ترين نرم‌افزار براي مديريت كليدها؛ Broadcast Secure Easy Setup) SES) است كه در بيشتر كارت‌هاي شبكه و نقطه دسترسي‌هاي داراي چيپ Broadcom كه از اواسط سال 2004 به بعد توليد شده‌اند، وجود دارد.
SES از تركيب كلمات عبور تركيبي با جواب‌هايي به سؤالات امنيتي متعدد كليدها را توليد مي‌كند. به طوري كه در واقع فقط براي جلوگيري از فراموشي كليدها طراحي شده است. برخلاف كلمات عبورساده، كليدهايي كه SES مي‌سازد، نسبت به حملاتي كه براي پيدا كردن كلمه عبور، تمام كلمات ممكن را تست مي‌كند ‌‌(Dictionary attack) آسيب‌پذير نيست و وارد كردن دستي كليدها، كاربرها مي‌توانند كلمات عبور تركيبي و جواب‌ها را به راحتي به خاطر بياورند. به هر حال، اين برنامه براي ورود كليدها نمي‌تواند به دستگاه‌هايي كه صفحه كليد ندارند كمكي بكند.
يك نسخه جديدتر SES يك كليد تصادفي را به طور خودكار توليد مي‌كند. اين عمل وقتي اتفاق مي‌افتد كه كاربران يك كليد از كلاينت و AP را همزمان فشار دهند؛ اگرچه اين كار در برابر بعضي حملات Sniffing آسيب‌پذيري بالقوه به حساب مي‌آيد.
شركت‌هاي Linksys وBuffalo Technology دكمه‌اي را روي APها براي اين منظور تعبيه كرده‌اند و در طرح اصليBroadCom نيز براي تلفن واي‌فاي چنين دكمه‌اي را قرار داده است. نرم‌افزار BroadCom در رابط گرافيكي خود، هم روي درايور كارت‌هاي شبكه و هم در يك رابط مديريت AP SSL،‌ براي دستگاه‌هايي كه چنين دكمه‌هايي ندارند، دكمه‌اي براي كليك ماوس قرار داده است.
چيپ‌هاي برودكام در بازار مسيرياب‌هاي واي‌فاي خانگي به وفور يافت مي‌شوند، ولي آن‌ها را به ندرت مي‌توان درAPهاي تجاري پيدا كرد.
بسياري از اين APها داراي چيپ‌هاي Atheros هستند كه يك سيستم تك كليدي مشابه به نام JumpStart را ارائه مي‌كند. اين سيستم در برابر حملات Sniffing به اندازه SES آسيب‌پذير نيست؛ زيرا علاوه بر فشار دادن يك كليد يك كلمه عبور نيز از كاربر درخواست مي‌كند و با استفاده از الگوريتم Diffie - Hellman يك كليد ارائه مي‌كند.
هم SES و هم JumpStart چيپ‌هاي مخصوص توليدكنندگان خود را روي كلاينت و AP نياز دارند كه باعث محدوديت استفاده از آن‌ها مي‌شود. شركت اسروس كد جامپ استارت را با يك مجوز نرم‌افزاري منبع‌باز منتشر كرده است. به طوري كه به همان اندازه كه رضايت محققان امنيت را جلب مي‌كند، توسط ساير توليدكنندگان قابل استفاده است، ولي تاكنون هيچ توليدكننده ديگري از پيشنهاد اسروس استقبال نكرده است.

امنيت شبكه‌هاي محلي خانگي‌شركت هاي مايكروسافت و اينتل ازديدگاه انتقال فيزيكي كليدها بين كامپيوترها حمايت مي‌كنند. نسخه اوليه نتيجه اين ديدگاه در ويندوز اكس‌پي سرويس پك دو قرارداده شده است. اين نسخه يك كليد تصادفي توليد مي‌كند و با استفاده از درايوهاي فلش USB آن را به اشتراك مي‌گذارد. بنابراين با كارت‌هاي شبكه و APهاي تمام توليدكنندگان كار مي‌كند. اين قابليت، نسخه مذكور را به انتخابي مناسب براي كاربراني مبدل مي‌سازد كه لپ‌تاپ‌هاي داراي سيستم عامل ويندوزخود را به خانه مي‌برند واز آنجا به يك شبكه واي‌فاي متصل مي‌شوند.
اين ويژگي براي شبكه‌هاي مؤسسات بزرگ هنوز كافي نيست. چون دستگاه‌هايي كه از EAP پشتيباني نمي‌كنند، ويندوز اكس‌پي را نيز اجرا نمي‌كنند و درگاه USB هم ندارند.
مايكروسافت و اينتل براي اين دستگاه‌ها استفاده از تگ Radio Frequency Identification) RFID) را پيشنهاد مي‌دهند. RFID خيلي ارزان است و بسياري ازسازندگان گوشي همراه RFID Reader را به گوشي‌هاي خود اضافه كرده‌اند. آن‌ها همچنين پتانسيل بالاي بازار را براي دستگاه‌هايي مانند قاب عكس‌هاي واي فاي درك مي‌كنند كه هيچ دكمه ورودي يا وسيله خاصي براي ورود كليد ندارند، ولي مي‌توانند كليد را از طريق RFID دريافت كنند.
كامپيوترهاي شخصي به طور استاندارد فاقد RFID هستند، ولي مي‌توانند به سمت درايوهاي USB تغيير مسير بدهند.
RFID به اندازه درايو USB ايمن نيست؛ زيرا نقل و انتقال داده مي‌تواند توسط يك آنتن جهت‌دار Sniff شود. از طرفي قدرت كمِ اكثر كارت‌هاي RFID به خودي خود احتمال Sniffing را بعيد مي‌سازد. عيب بزرگ‌تر اين است كه هيچ كدام ازدستگاه‌هاي واي‌فاي هنوز RFID را اضافه نكرده‌اند. به همين خاطر اين سيستم براي كساني كه در حال حاضر از تلفن هاي واي‌فاي استفاده مي‌كنند، كاربرد ندارد.در نهايت مي‌توان گفت تايپ كليدها به طور دستي نتيجه روشن‌تري دارد.

حفره‌هاي امنيتي‌صرف‌نظر از اين‌كه كليدهاي WPA Personal چگونه تعويض مي‌شوند، مؤسسات بزرگ نمي‌توانند به طور كامل به آن تكيه كنند. كامپيوترها و ديگر دستگاه‌هاي با قابليت اجراي نرم‌افزار دلخواه مي‌توانند از WPA Enterprise يا VPN، با نسخه اختصاصي با امنيت كمتر براي دستگاه‌هايي كه به آن نياز دارند، استفاده كنند.
به جا گذاشتن يك روزنه در ارتباطات بي‌سيم با امنيت پايين ممكن است براي برخي از بخش‌هاي IT خطرناك باشد، ولي به هرحال جايگزين مناسبي وجود ندارد كه به همه دستگاه‌هاي غير EAP اجازه ورود به شبكه را بدهد.WPA Personal نسبت به WEP پيشرفت عمده‌اي به حساب مي‌آيد. توليدكنندگان بزرگ AP شامل Cisco ،Aruba Wireless Networks ،Meru Networks ،Symbol Technologies ،Trapeze Networks روش‌هايي براي به حداقل رساندن مخاطرات امنيتي دارند.
كلاينت‌هايي كه با استفاده از WPA Enterprise تأييد هويت مي‌شوند، مي‌توانند به منابع مؤسسه دسترسي كامل داشته باشند و كساني كه هويتشان تأييد نمي‌شود، فقط مي‌توانند به منابع خاصي دسترسي داشته باشند. به عنوان مثال، يك تلفن فقط به يك PBX، يك دستگاه باركد خوان به يك سرور مخصوص و كاربران ميهمان به اينترنت مي‌توانند متصل شوند. سيستمي از همين نوع مي‌تواند ارتباطات كاملاً نامطمئني داشته باشد، ولي اجازه ورود به شبكه خصوصي را به آن‌ها ندهد و فقط استفاده از اينترنت رابراي آن‌ها امكانپذير سازد كه اين سيستم براي دسترسي كاربران مهمان مناسب مي‌باشد.

منبع : مجله شبكه